Privacidade

297 readers
1 users here now

founded 1 year ago
MODERATORS
1
17
Privacy Guides (lemmy.world)
submitted 11 months ago by broering@lemmy.world to c/privacidade
 
 

O privacyguides.org tem suporte para tradução em massa, qualquer pessoa pode colaborar. Utilizam sistemas de tradução automática, mas necessita revisar o estrangeirismo de palavras técnicas.

https://crowdin.com/project/privacyguides

O projeto roda em Mkdocs, todo em markdown.

Fácil de traduzir, mas, demanda tempo e dedicação.

É o melhor acervo visando privacidade.

2
7
💬 Chegou o XMPP Brasil! (self.privacidade)
submitted 1 month ago by ademir to c/privacidade
 
 

cross-posted from: https://lemmy.eco.br/post/8311201

Agora você pode se comunicar com total privacidade e segurança, longe da vigilância das Big Techs.

Nossa rede é aberta, segura e descentralizada, permitindo que você se conecte sem comprometer seus dados.

Registre sua conta hoje mesmo em https://xmpp.eco.br e seja parte dessa revolução digital! 🛡️ 🔐

3
 
 

Pi-hole apenas usando a lista do oisd.nl.

Desde 2021 utilizando a mesma lista. Rodando em um Raspberry Pi Zero.

@privacidade@lemmy.eco.br

4
5
 
 
6
 
 

Nosso amigo e admin @BaalInvoker recomendou uma ferramenta incrível, agora disponível para nossa comunidade: uma solução web para manipulação de PDFs! Acesse em: https://pdf.lemmy.eco.br (ou https://stirling.lemmy.eco.br).

Com esta ferramenta, você pode dividir, mesclar, converter, comprimir e muito mais, sem rastreamento ou armazenamento de longo prazo. Tudo seguro e eficiente, diretamente do seu navegador!

#softwarelivre #privacidade @privacidade

7
 
 

Usei várias grátis mas todas são bloqueadas, discord pede captcha mil vezes e não executa a ação e o Instagram só não funciona no geral. Qual VPN consigo burlar isso?

8
 
 

Vazaram documentos internos da CMG (Cox Media Group) os quais revelam que a empresa possui mais de 470 “fontes” distintas de gravações de usuários as quais são transcritas usando IA e vendidas a anunciantes como Google, Amazon e Facebook.

Sempre achei que isso fosse uma paranoia completa (pela impraticabilidade até o surgimento de IAs capazes de transcrever toda essa informação) mas aparentemente agora é extremamente possível. Em que universo isso é plausível?

9
 
 

Eu gostaria de armazenar localmente os meus dados médicos coletados por um smartwatch, é possível fazer isso? Existe algum modelo assim no Brasil?

10
 
 

3TOFU: Verifying Unsigned Releases

By Michael Altfield
License: CC BY-SA 4.0
https://tech.michaelaltfield.net

This article introduces the concept of "3TOFU" -- a harm-reduction process when downloading software that cannot be verified cryptographically.

Verifying Unsigned Releases with 3TOFU
Verifying Unsigned Releases with 3TOFU

⚠ NOTE: This article is about harm reduction.

It is dangerous to download and run binaries (or code) whose authenticity you cannot verify (using a cryptographic signature from a key stored offline). However, sometimes we cannot avoid it. If you're going to proceed with running untrusted code, then following the steps outlined in this guide may reduce your risk.

TOFU

TOFU stands for Trust On First Use. It's a (often abused) concept of downloading a person or org's signing key and just blindly trusting it (instead of verifying it).

3TOFU

3TOFU is a process where a user downloads something three times at three different locations. If-and-only-if all three downloads are identical, then you trust it.

Why 3TOFU?

During the Crypto Wars of the 1990s, it was illegal to export cryptography from the United States. In 1996, after intense public pressure and legal challenges, the government officially permitted export with the 56-bit DES cipher -- which was a known-vulnerable cipher.

Photo of Paul Kocher holding a very large circuit board
The EFF's Deep Crack proved DES to be insecure and pushed a switch to 3DES.

But there was a simple way to use insecure DES to make secure messages: just use it three times.

3DES (aka "Triple DES") is the process encrypting a message using the insecure symmetric block cipher (DES) three times on each block, to produce an actually secure message (from known attacks at the time).

3TOFU (aka "Triple TOFU") is the process of downloading a payload using the insecure method (TOFU) three times, to obtain the payload that's magnitudes less likely to be maliciously altered.

3TOFU Process

To best mitigate targeted attacks, 3TOFU should be done:

  1. On three distinct days
  2. On three distinct machines (or VMs)
  3. Exiting from three distinct countries
  4. Exiting using three distinct networks

For example, I'll usually execute

  • TOFU #1/3 in TAILS (via Tor)
  • TOFU #2/3 in a Debian VM (via VPN)
  • TOFU #3/3 on my daily laptop (via ISP)

The possibility of an attacker maliciously modifying something you download over your ISP's network are quite high, depending on which country you live-in.

The possibility of an attacker maliciously modifying something you download onto a VM with a freshly installed OS over an encrypted VPN connection (routed internationally and exiting from another country) is much less likely, but still possible -- especially for a well-funded adversary.

The possibility of an attacker maliciously modifying something you download onto a VM running a hardened OS (like Whonix or TAILS) using a hardened browser (like Tor Browser) over an anonymizing network (like Tor) is quite unlikely.

The possibility for someone to execute a network attack on all three downloads is very near-zero -- especially if the downloads were spread-out over days or weeks.

3TOFU bash Script

I provide the following bash script as an example snippet that I run for each of the 3TOFUs.

REMOTE_FILES="https://tails.net/tails-signing.key"

CURL="/usr/bin/curl"
WGET="/usr/bin/wget --retry-on-host-error --retry-connrefused"
PYTHON="/usr/bin/python3"

# in tails, we must torify
if [[ "`whoami`" == "amnesia" ]] ; then
	CURL="/usr/bin/torify ${CURL}"
	WGET="/usr/bin/torify ${WGET}"
	PYTHON="/usr/bin/torify ${PYTHON}"
fi

tmpDir=`mktemp -d`
pushd "${tmpDir}"

# first get some info about our internet connection
${CURL} -s https://ifconfig.co/country | head -n1
${CURL} -s https://check.torproject.org | grep Congratulations | head -n1

# and today's date
date -u +"%Y-%m-%d"

# get the file
for file in ${REMOTE_FILES}; do
	wget ${file}
done

# checksum
date -u +"%Y-%m-%d"
sha256sum *

# gpg fingerprint
gpg --with-fingerprint  --with-subkey-fingerprint --keyid-format 0xlong *

Here's one example execution of the above script (on a debian DispVM, executed with a VPN).

/tmp/tmp.xT9HCeTY0y ~
Canada
2024-05-04
--2024-05-04 14:58:54--  https://tails.net/tails-signing.key
Resolving tails.net (tails.net)... 204.13.164.63
Connecting to tails.net (tails.net)|204.13.164.63|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1387192 (1.3M) [application/octet-stream]
Saving to: ‘tails-signing.key’

tails-signing.key   100%[===================>]   1.32M  1.26MB/s    in 1.1s    

2024-05-04 14:58:56 (1.26 MB/s) - ‘tails-signing.key’ saved [1387192/1387192]

2024-05-04
8c641252767dc8815d3453e540142ea143498f8fbd76850066dc134445b3e532  tails-signing.key
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0xDBB802B258ACD84F 2015-01-18 [C] [expires: 2025-01-25]
      Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
uid                             Tails developers (offline long-term identity key) <tails@boum.org>
uid                             Tails developers <tails@boum.org>
sub   rsa4096/0x3C83DCB52F699C56 2015-01-18 [S] [expired: 2018-01-11]
sub   rsa4096/0x98FEC6BC752A3DB6 2015-01-18 [S] [expired: 2018-01-11]
sub   rsa4096/0xAA9E014656987A65 2015-01-18 [S] [revoked: 2015-10-29]
sub   rsa4096/0xAF292B44A0EDAA41 2016-08-30 [S] [expired: 2018-01-11]
sub   rsa4096/0xD21DAD38AF281C0B 2017-08-28 [S] [expires: 2025-01-25]
sub   rsa4096/0x3020A7A9C2B72733 2017-08-28 [S] [revoked: 2020-05-29]
sub   ed25519/0x90B2B4BD7AED235F 2017-08-28 [S] [expires: 2025-01-25]
sub   rsa4096/0xA8B0F4E45B1B50E2 2018-08-30 [S] [revoked: 2021-10-14]
sub   rsa4096/0x7BFBD2B902EE13D0 2021-10-14 [S] [expires: 2025-01-25]
sub   rsa4096/0xE5DBA2E186D5BAFC 2023-10-03 [S] [expires: 2025-01-25]

The TOFU output above shows that the release signing key from the TAILS project is a 4096-bit RSA key with a full fingerprint of "A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F". The key file itself has a sha256 hash of "8c641252767dc8815d3453e540142ea143498f8fbd76850066dc134445b3e532".

When doing a 3TOFU, save the output of each execution. After collecting output from all 3 executions (intentionally spread-out over 3 days or more), diff the output.

If the output of all three TOFUs match, then the confidence of the file's authenticity is very high.

Why do 3TOFU?

Unfortunately, many developers think that hosting their releases on a server with https is sufficient to protect their users from obtaining a maliciously-modified release. But https won't protect you if:

  1. Your DNS or publishing infrastructure is compromised (it happens), or
  2. An attacker has just one (subordinate) CA in the user's PKI root store (it happens)

Generally speaking, publishing infrastructure compromises are detected and resolved within days and MITM attacks using compromised CAs are targeted attacks (to avoid detection). Therefore, a 3TOFU verification should thwart these types of attacks.

⚠ Note on hashes: Unfortunately, many well-meaning developers erroneously think that cryptographic hashes provide authenticity, but cryptographic hashes do not provide authenticity -- they provide integrity.

Integrity checks are useful to detect corrupted data on-download; it does not protect you from maliciously altered data unless those hashes are cryptographically signed with a key whose private key isn't stored on the publishing infrastructure.

Improvements

There are some things you can do to further improve the confidence of the authenticity of a file you download from the internet.

Distinct Domains

If possible, download your payload from as many distinct domains as possible.

An adversary may successfully compromise the publishing infrastructure of a software project, but it's far less likely for them to compromise the project website (eg 'tails.net') and their forge (eg 'github.com') and their mastodon instance (eg 'mastodon.social').

Use TAILS

TAILS Logo
TAILS is by far the best OS to use for security-critical situations.

If you are a high-risk target (investigative journalist, activist, or political dissident) then you should definitely use TAILS for one of your TOFUs.

Signature Verification

It's always better to verify the authenticity of a file using cryptographic signatures than with 3TOFU.

Unfortunately, some companies like Microsoft don't sign their releases, so the only option to verify the authenticity of something like a Windows .iso is with 3TOFU.

Still, whenever you encounter some software that is not signed using an offline key, please do us all a favor and create a bug report asking the developer to sign their releases with PGP (or minisign or signify or something).

4TOFU

3TOFU is easy because Tor is free and most people have access to a VPN (corporate or commercial or an ssh socks proxy).

But, if you'd like, you could also add i2p or some other proxy network into the mix (and do 4TOFU).

11
12
 
 

O Evolve Bank & Trust sofreu um ataque em fevereiro de 2024.

Dados comprometidos: Dados de pelo menos 7,6 milhões de clientes foram acessados.

Avenue e Nomad demoraram pra falar qualquer coisa! https://portaldobitcoin.uol.com.br/alem-da-nomad-wise-e-avenue-admitem-relacao-com-banco-que-teve-dados-de-clientes-vazados/

Tipos de dados: Nomes, números de seguridade social, números de contas bancárias e informações de contato foram expostos.

Parceiros afetados: Affirm, Mercury e Wise confirmaram que alguns de seus dados e informações de clientes foram comprometidos. No Brasil, Avenue e Nomad.

Responsável pelo ataque: O grupo de ransomware LockBit, vinculado à Rússia, realizou o ataque.

Resposta do Evolve: A invasão foi detectada em maio, e o banco se recusou a pagar o resgate.

Publicação de dados: Os dados foram publicados na dark web pelo grupo LockBit.

13
9
Mumble ou jitsi? (self.privacidade)
submitted 5 months ago by GeofSux66 to c/privacidade
 
 

boa noite gente estou dúvida se uso o mumble ou jitsi para conversar com meus amigos qual seria melhor? eu vi que pra auto hospedar mumble talvez seria um pouco caro oq voces acham?

14
 
 

O Google revelou que a IA Gemini Nano poderá ser usada no futuro para escutar as ligações no Android e emitir um alerta em tempo real se reconhecer padrões associados a golpes e fraudes. O recurso será possível em versões futuras do sistema operacional da companhia com a integração do Gemini Nano de forma nativa nos aparelhos.

“Por exemplo, você receberá um alerta se um ‘representante do banco’ solicitar que você transfira fundos com urgência, faça um pagamento com um cartão-presente ou solicite informações pessoais, como PINs ou senhas de cartão — que são solicitações incomuns para um banco”.

Vale ressaltar, no entanto, que o Gemini Nano será executado diretamente no aparelho, portanto não haverá envio de informações para processamento na nuvem — o que deve garantir a privacidade sobre as ligações.

Obrigado Google me sinto muito mais seguro agora 🤡

15
 
 

Tempos atrás, liguei pra a Vivo para solicitar que parassem de me mandar SMSs promocionais, pois são frequentes e várias vezes durante o dia. Anotei o protocolo pois já estava prevendo que não iriam resolver. Como previsto, não res0lveram e abri uma reclamação na Anatel. Entraram em contato alguns dias depois pra avisar que havia sido resolvido, dei uns dias pra testar se não chegava nenhum SMS promocional, e não chegando, encerrei a reclamação na Anatel, em que a resposta da Vivo inclusive, dizia que não reconhecia o número do protocolo. Enfim, notei há alguns dias que as mensagens voltaram com tudo, com mais frequência que antes. Liguei pra eles novamente solicitando cancelamento, gravei a ligação, tirei print do SMS que eles mandam com o protocolo, e solicitei a gravação da ligação pelo site Meu Vivo. Hoje de manhã recebi um SMS avisando que o arquivo tinha sido enviado pro meu e-mail. Vasculhei tudo e esse e-mail nunca chegou, então voltei no site e lá estava o arquivo pronto pra ser baixado. Aqui começa o problema com os dados sensíveis. Ao clicar no botão de baixar o arquivo, que deveria ser em formato .WAV, o site abre uma página de texto puro em HTML, com VÁRIOS protocolos de outros clientes, e a data de solicitação de cada um, tem arquivos antigos de 2015, e outros anos, que pelo que eu percebi, estão nomeados com alguns números e o número do protocolo. Alguns vêm com o nome do cliente que solicitou. Censurei os nomes dos clientes, mas segue uma parte desse documento. O que fazer nesse caso? Isso fere alguma lei da LGPD ou algo do tipo?

TL;DR: Solicitei a gravação de chamada com o suporte da Vivo e no lugar do áudio, me mandam um texto HTML com dados sensíveis de outros clientes.

16
11
Armazenamento de fotos (self.privacidade)
submitted 8 months ago* (last edited 8 months ago) by GeofSux66 to c/privacidade
 
 

boa noite a todos, gostaria de saber se proton driven é uma boa opção para guarda minhas fotos?? ou existe opções melhores pfv gostaria de dicas e sugestões

17
18
Matrix ou Xmpp?? (self.privacidade)
submitted 8 months ago by GeofSux66 to c/privacidade
 
 

Ola gente dia a todos gostaria da opinião de vocês pra saber qual o melhor ou qual protocolos vocês usam ou preferem para conversa com amigos ou familiares?? Atualmente estou usando o xmpp q é meu preferido mas cheguei a testar o matrix e achei bem interessante os apps moderno e as opções de pontes. Vocês acham q matrix está maduro suficiente pras coisas q mencionei ali em cima ou melhor ficar com xmpp?

Obs: talvez se eu fosse usar matrix iria auto hospedar ele pra usar e tals

18
 
 

Por favor, leiam as políticas, há também como fazer testes (incluído na documentação).

Há como usar em conjunto (regras) com o uBlock, uMatrix, AdGuard e NoScript --> checar as opções avançadas do local cdn.

19
3
submitted 9 months ago* (last edited 9 months ago) by br4b0 to c/privacidade
 
 

É necessário habilitar o modo avançado nas configurações da extensão.

O página quase não é afetada. A experiência comigo, pelo menos, gerou a quebra de algumas imagens de posts, mas bem poucas. Se você desativar de terceiros, o modo azul fica ativado e ainda continua sendo bom. Geralmente o modo vermelho (igual o que está na foto) é mais propenso a quebrar páginas.

20
10
submitted 9 months ago* (last edited 9 months ago) by br4b0 to c/privacidade
 
 

Usem com cuidado ;D

EDIT : indicação de algumas listas para quem quiser testar (apesar da quantidade, a maioria do sites ainda vão funcionar)

“https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt”, “https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts”, “https://adaway.org/hosts.txt”, “https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt”, “https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt”, “https://paulgb.github.io/BarbBlock/blacklists/hosts-file.txt”, “https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext”, “https://phishing.army/download/phishing_army_blocklist_extended.txt”, “https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/hosts”, “https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt”, “https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.2o7Net/hosts”, “https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts”, “https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Spam/hosts”, “https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts”, “https://raw.githubusercontent.com/matomo-org/referrer-spam-blacklist/master/spammers.txt”, “https://raw.githubusercontent.com/RooneyMcNibNug/pihole-stuff/master/SNAFU.txt”, “https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt”, “https://raw.githubusercontent.com/VeleSila/yhosts/master/hosts”, “https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt”, “https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt”, “https://someonewhocares.org/hosts/zero/hosts”, “https://urlhaus.abuse.ch/downloads/hostfile/”, “https://v.firebog.net/hosts/AdguardDNS.txt”, “https://v.firebog.net/hosts/Admiral.txt”, “https://v.firebog.net/hosts/Easylist.txt”, “https://v.firebog.net/hosts/Easyprivacy.txt”, “https://v.firebog.net/hosts/neohostsbasic.txt”, “https://v.firebog.net/hosts/Prigent-Ads.txt”, “https://v.firebog.net/hosts/Prigent-Crypto.txt”, “https://v.firebog.net/hosts/RPiList-Malware.txt”, “https://v.firebog.net/hosts/RPiList-Phishing.txt”, “https://v.firebog.net/hosts/static/w3kbl.txt”, “https://winhelp2002.mvps.org/hosts.txt”, “https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser”, “https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt”, “https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt”, “https://www.github.developerdan.com/hosts/lists/amp-hosts-extended.txt”, “https://www.github.developerdan.com/hosts/lists/dating-services-extended.txt”, “https://www.github.developerdan.com/hosts/lists/hate-and-junk-extended.txt”, “https://www.github.developerdan.com/hosts/lists/tracking-aggressive-extended.txt”, “https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt”, “https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts”, “https://blocklistproject.github.io/Lists/ads.txt”, “https://blocklistproject.github.io/Lists/crypto.txt”, “https://blocklistproject.github.io/Lists/fraud.txt”, “https://blocklistproject.github.io/Lists/malware.txt”, “https://blocklistproject.github.io/Lists/phishing.txt”, “https://blocklistproject.github.io/Lists/ransomware.txt”, “https://blocklistproject.github.io/Lists/redirect.txt”, “https://blocklistproject.github.io/Lists/scam.txt”, “https://blocklistproject.github.io/Lists/tracking.txt”

1

21
 
 

Vá na extensão > configuraões > "eu sou um usuário avançado" depois abra a extensão de novo e clique em " Mais" várias vezes até aparecer a barra lateral. Em seguida é só deixar igual o print acima.

EDIT: confira também esse post aqui

22
 
 
23
14
submitted 10 months ago* (last edited 10 months ago) by br4b0 to c/privacidade
 
 

Por muito tempo tenho usado o duckduckgo e por algumas vezes já usei o Mojeek e o startpage também.

24
 
 

Já sabemos do custo pra privacidade quando sites usam JS.. Mesmo sabendo que o Duckduckgo não é um serviço perfeito, ainda sim, é melhor que o buscador do google, bing, yahoo, etc. Com um buscador em html as coisas tendem a aumentar um pouco mais sua privacidade em buscar.

25
view more: next ›